Licencias de Microsoft Entra
En este artículo se describen las opciones de licencia de la familia de productos de Microsoft Entra. Está pensado para responsables de la toma de decisiones de seguridad, administradores de acceso a identidades y redes, y profesionales de TI que están considerando soluciones de Microsoft Entra para sus organizaciones.
Opciones de licencias de Entra
Microsoft Entra está disponible en varias opciones de licencia que le permiten elegir el paquete más adecuado para sus necesidades.
Nota:
Las opciones de licencia de esta página no son completas. Puede obtener información detallada sobre las distintas opciones en la Página de precios de Microsoft Entra y en la Página Comparar planes y precios de Microsoft 365 Enterprise.
Microsoft Entra ID Gratis : se incluye con suscripciones en la nube de Microsoft, como Microsoft Azure, Microsoft 365 y otros.
Microsoft Entra ID P1: Microsoft Entra ID P1 está disponible como producto independiente o incluido con Microsoft 365 E3 para clientes empresariales y Microsoft 365 Business Premium para pequeñas y medianas empresas.
Microsoft Entra ID P2: Microsoft Entra ID P2 está disponible como producto independiente o incluido con Microsoft 365 E5 para clientes empresariales.
Microsoft Entra Suite: el conjunto combina productos de Microsoft Entra para proteger el acceso a los empleados. Permite a los administradores proporcionar acceso seguro desde cualquier lugar a cualquier aplicación o recurso tanto en la nube como en el entorno local, al tiempo que garantiza el acceso con privilegios mínimos. Se requiere una suscripción de Microsoft Entra ID P1. Conjunto de aplicaciones de Microsoft Entra incluye cinco productos:
- Microsoft Entra Private Access
- Acceso a Internet de Microsoft Entra
- Gobierno de Microsoft Entra ID
- Protección de Microsoft Entra ID
- Id. verificada por Microsoft Entra (funcionalidades premium)
Aprovisionamiento de aplicaciones
El proxy de aplicación de Microsoft Entra requiere licencias P1 o P2 de Microsoft Entra ID. Para más información sobre las licencias, vea Precios de Microsoft Entra.
Autenticación
En la siguiente tabla se enumeran las características disponibles para la autenticación en las distintas versiones de Microsoft Entra ID. Planee sus necesidades para proteger el inicio de sesión de usuario y determine qué enfoque cumple esos requisitos. Por ejemplo, aunque Microsoft Entra ID Free proporciona valores predeterminados de seguridad con autenticación multifactor, solo se puede utilizar Microsoft Authenticator para la solicitud de autenticación, incluidas las llamadas de voz y texto. Este enfoque puede ser una limitación si no puede asegurarse de que Authenticator está instalado en el dispositivo personal de un usuario.
| Característica | Microsoft Entra ID Gratis: Valores predeterminados de seguridad (habilitados para todos los usuarios) | Microsoft Entra ID Gratis: Solo administradores globales | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| Protección de cuentas de administración de inquilinos de Microsoft Entra con MFA | ✅ | ✅ (solo cuentas de Administrador global de Microsoft Entra) | ✅ | ✅ | ✅ |
| Aplicación móvil como segundo factor | ✅ | ✅ | ✅ | ✅ | ✅ |
| Llamada de teléfono como segundo factor | ✅ | ✅ | ✅ | ||
| SMS como segundo factor | ✅ | ✅ | ✅ | ✅ | |
| Control administrativo sobre métodos de comprobación | ✅ | ✅ | ✅ | ✅ | |
| Alerta de fraude | ✅ | ✅ | |||
| Informes de MFA | ✅ | ✅ | |||
| Saludos personalizados para las llamadas de teléfono | ✅ | ✅ | |||
| Identificador de llamada personalizado para llamadas telefónicas | ✅ | ✅ | |||
| IP de confianza | ✅ | ✅ | |||
| Recordar MFA para dispositivos de confianza | ✅ | ✅ | ✅ | ✅ | |
| MFA para aplicaciones locales | ✅ | ✅ | |||
| Acceso condicional | ✅ | ✅ | |||
| Acceso condicional basado en riesgos | ✅ | ||||
| Autoservicio de restablecimiento de contraseña (SSPR) | ✅ | ✅ | ✅ | ✅ | ✅ |
| SSPR con escritura diferida | ✅ | ✅ |
Identidades administradas
No hay requisitos de licencia para usar identidades administradas para recursos de Azure. Las identidades administradas para recursos de Azure proporcionan una identidad administrada automáticamente para que las aplicaciones se usen al conectarse a recursos que admiten la autenticación de Microsoft Entra. Una de las ventajas de usar identidades administradas es que no es necesario administrar credenciales y se pueden usar sin costo adicional. Para más información, consulte ¿Qué es Managed Identities for Azure Resources?
Microsoft Entra ID Governance
En la tabla siguiente se muestran los requisitos de licencia para las características de Gobierno de Microsoft Entra ID. Conjunto de aplicaciones de Microsoft Entra incluye todas las características de Gobierno de Microsoft Entra ID. La información de licencias y los escenarios de licencia de ejemplo para la administración de derechos, las revisiones de acceso y los flujos de trabajo de ciclo de vida se proporcionan siguiendo la tabla.
Características por licencia
En la siguiente tabla se muestran las características disponibles con cada licencia. No todas las características están disponibles en todas las nubes; consulte Disponibilidad de características de Microsoft Entra para Azure Government.
Administración de derechos
El uso de esta característica requiere suscripciones de Gobernanza de id. de Microsoft Entra para los usuarios de la organización. Algunas funcionalidades de esta característica pueden funcionar con una suscripción de Microsoft Entra ID P2.
Escenarios de licencia de ejemplo
Estos son algunos escenarios de licencia de ejemplo que le ayudarán a determinar el número de licencias que debe tener.
| Escenario | Cálculo | Número de licencias |
|---|---|---|
| Un administrador de Identity Governance en Woodgrove Bank crea catálogos iniciales. Una de las directivas especifica que todos los empleados (2000 empleados) pueden solicitar un conjunto específico de paquetes de acceso. 150 empleados solicitan los paquetes de acceso. | 2000 empleados que pueden solicitar los paquetes de acceso | 2\.000 |
| Un administrador de Identity Governance en Woodgrove Bank crea catálogos iniciales. Una de las directivas especifica que todos los empleados (2000 empleados) pueden solicitar un conjunto específico de paquetes de acceso. 150 empleados solicitan los paquetes de acceso. | 2000 empleados necesitan licencias. | 2.000 |
| Un administrador de Identity Governance en Woodgrove Bank crea catálogos iniciales. Crean una directiva de asignación automática que concede a todos los miembros del departamento de ventas (350 empleados) acceso a un conjunto específico de paquetes de acceso. 350 empleados se asignan automáticamente a los paquetes de acceso. | 350 empleados necesitan licencias. | 351 |
Revisiones de acceso
El uso de esta característica requiere suscripciones a Gobierno de id. de Microsoft Entra para los usuarios de su organización, incluyendo a todos los empleados que estén revisando el acceso o que tengan su acceso revisado. Algunas funcionalidades de esta característica podrían funcionar con una suscripción de Microsoft Entra ID P2.
Escenarios de licencia de ejemplo
Estos son algunos escenarios de licencia de ejemplo que le ayudarán a determinar el número de licencias que debe tener.
| Escenario | Cálculo | Número de licencias |
|---|---|---|
| Un administrador crea una revisión de acceso del Grupo A con 75 usuarios y 1 propietario del grupo, y asigna el propietario del grupo como revisor. | 1 licencia para el propietario del grupo como revisor y 75 licencias para los 75 usuarios. | 76 |
| Un administrador crea una revisión de acceso del Grupo B con 500 usuarios y 3 propietarios de grupo, y asigna los 3 propietarios de grupo como revisores. | 500 licencias para usuarios y 3 licencias para cada propietario de grupo como revisores. | 503 |
| Un administrador crea una revisión de acceso del Grupo B con 500 usuarios. Realiza una autorrevisión. | 500 licencias para cada usuario como revisores | 500 |
| Un administrador crea una revisión de acceso del Grupo C con 50 usuarios miembros. Realiza una autorrevisión. | 50 licencias para cada usuario como autorrevisores. | 50 |
| Un administrador crea una revisión de acceso del Grupo D con 6 usuarios miembros. Realiza una autorrevisión. | 6 licencias para cada usuario como revisores. No se necesitan licencias adicionales. | 6 |
Flujos de trabajo de ciclo de vida
Con las licencias de Gobernanza de Microsoft Entra ID para flujos de trabajo de ciclo de vida, puede hacer lo siguiente:
- Crear, administrar y eliminar flujos de trabajo hasta un límite total de 50 flujos de trabajo.
- Desencadenar la ejecución de flujo de trabajo a petición y de forma programada.
- Administrar y configurar las tareas existentes para crear flujos de trabajo específicos de sus necesidades.
- Crear hasta 100 extensiones de tareas personalizadas que se usarán en los flujos de trabajo.
El uso de esta característica requiere suscripciones de Gobernanza de id. de Microsoft Entra para los usuarios de la organización.
Escenarios de licencia de ejemplo
| Escenario | Cálculo | Número de licencias |
|---|---|---|
| Un administrador de flujos de trabajo de ciclo de vida crea un flujo de trabajo para agregar nuevas contrataciones en el departamento de Marketing al grupo de equipos de Marketing. Mediante este flujo de trabajo, se asignan una vez 250 nuevas contrataciones al grupo de equipos de Marketing. Mediante este flujo de trabajo, se asignan más adelante el mismo año otras 150 nuevas contrataciones al grupo de equipos de Marketing. | 1 licencia para el administrador de flujos de trabajo de ciclo de vida y 400 licencias para los usuarios. | 401 |
| Un administrador de flujos de trabajo de ciclo de vida crea un flujo de trabajo para dar de baja con antelación a un grupo de empleados antes de su último día de trabajo. El ámbito de los usuarios que se darán de baja con antelación es de 40 usuarios una vez. Desvinculamos a 40 usuarios con licencia. Ahora, podemos volver a asignar estas 40 licencias y asignar otras 10 licencias más adelante en el año para desvincular previamente a 50 usuarios más. | 50 licencias para los usuarios y 1 licencia para el administrador de flujos de trabajo de ciclo de vida. | 51 |
Microsoft Entra Connect
El uso de esta característica es gratis y está incluido en su suscripción de Azure.
Microsoft Entra Connect Health
El uso de esta característica requiere una licencia P1 de Microsoft Entra ID. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.
Acceso condicional de Microsoft Entra
El uso de esta característica requiere una licencia P1 de Microsoft Entra ID. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.
Los clientes con licencias de Microsoft 365 Empresa Premium también tienen acceso a características de acceso condicional.
Las directivas basadas en riesgo requieren acceso a Protección de id. de Microsoft Entra, que es una característica de Microsoft Entra ID P2.
Conjunto de aplicaciones de Microsoft Entra incluye todas las características de acceso condicional de Microsoft Entra.
Otros productos y características que podrían interactuar con las directivas de acceso condicional requieren licencias adecuadas para esos productos y características.
Cuando las licencias necesarias para el acceso condicional expiran, las directivas no se deshabilitan ni eliminan automáticamente. Esto permite a los clientes migrar de las directivas de acceso condicional sin un cambio repentino en su posición de seguridad. Las directivas restantes se pueden ver y eliminar, pero ya no se actualizan.
Los valores predeterminados de seguridad sirven de protección contra ataques relacionados con la identidad y están disponibles para todos los clientes.
Microsoft Entra Domain Services
El uso de Microsoft Entra Domain Services se cobra por hora, en función de la SKU seleccionada por el propietario del inquilino.
Identificador externo de Microsoft
Las características principales de Microsoft Entra External ID son gratuitas para los primeros 50 000 usuarios activos mensuales. Puede encontrar más información sobre licencias en las Preguntas más frecuentes sobre el identificador externo
Protección de Microsoft Entra ID
El uso de esta característica requiere licencias de Microsoft Entra ID P2. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.
| Funcionalidad | Detalles | Microsoft Entra ID Gratis /Aplicaciones de Microsoft 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Conjunto de aplicaciones de Microsoft Entra |
|---|---|---|---|---|---|
| Directivas de riesgo | Directivas de riesgo de usuario e inicio de sesión (mediante el acceso condicional) | No | No | Sí | Sí |
| Informes de seguridad | Información general | No | No | Sí | Sí |
| Informes de seguridad | Usuarios de riesgo | Información limitada. Solo se muestran los usuarios con riesgo medio y alto. No hay ningún cajón de detalles ni historial de riesgos. | Información limitada. Solo se muestran los usuarios con riesgo medio y alto. No hay ningún cajón de detalles ni historial de riesgos. | Acceso total | Sí |
| Informes de seguridad | Inicios de sesión no seguros | Información limitada. No se muestran detalles del riesgo ni el nivel de riesgo. | Información limitada. No se muestran detalles del riesgo ni el nivel de riesgo. | Acceso total | Sí |
| Informes de seguridad | Detecciones de riesgo | No | Información limitada. No hay ningún cajón de detalles. | Acceso total | Sí |
| Notificaciones | Alertas detectadas sobre usuarios en riesgo | No | No | Sí | Sí |
| Notificaciones | Resumen semanal | No | No | Sí | Sí |
| Directiva de registro de MFA | No | No | Sí | Sí |
Microsoft Entra Internet Access
Acceso a Internet de Microsoft Entra está disponible por su cuenta o como parte de Microsoft Entra Suite.
Supervisión y mantenimiento de Microsoft Entra
Los roles y licencias necesarios variarán en función del informe. Se requieren permisos independientes para acceder a los datos de supervisión y mantenimiento en Microsoft Graph. Se recomienda usar un rol con acceso de privilegios mínimos para alinearse con las instrucciones de Confianza cero. Para obtener una lista completa de roles, consulte Roles con privilegios mínimos por tarea.
| Registro o informe | Roles | Licencias |
|---|---|---|
| Registros de auditoría | Lector de informes Lector de seguridad Administrador de seguridad |
Todas las ediciones de Microsoft Entra ID |
| Registros de inicio de sesión | Lector de informes Lector de seguridad Administrador de seguridad |
Todas las ediciones de Microsoft Entra ID |
| Registros de aprovisionamiento | Lector de informes Lector de seguridad Administrador de aplicaciones Administrador de aplicaciones en la nube |
Microsoft Entra ID P1 o P2 |
| Registros de auditoría de atributos de seguridad personalizados* | Administrador del registro de atributos Lector de registro de atributos |
Todas las ediciones de Microsoft Entra ID |
| Estado | Lector de informes Lector de seguridad Administrador del departamento de soporte técnico |
Microsoft Entra ID P1 o P2 |
| Protección de id. de Microsoft Entra** | Administrador de seguridad Operador de seguridad Lector de seguridad Lector global |
Microsoft Entra ID Free Aplicaciones de Microsoft 365 Microsoft Entra ID P1 o P2 |
| Registros de actividad de Microsoft Graph | Administrador de seguridad Permisos para acceder a los datos en el destino de registro correspondiente |
Microsoft Entra ID P1 o P2 |
| Uso y conclusiones | Lector de informes Lector de seguridad Administrador de seguridad |
Microsoft Entra ID P1 o P2 |
*La visualización de los atributos de seguridad personalizados en los registros de auditoría o la creación de una configuración de diagnóstico para atributos de seguridad personalizados requiere uno de los roles del registro de atributos. También se necesita el rol adecuado para ver los registros de auditoría estándar.
**El nivel de acceso y las funcionalidades de Protección de id. de Microsoft Entra varían con el rol y la licencia. Para más información, vea los requisitos de licencia de Protección de id..
Administración de permisos de Microsoft Entra
Permissions Management admite todos los recursos de Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform, pero solo requiere licencias para recursos facturables.
Microsoft Entra Private Access
El acceso privado de Microsoft Entra está disponible por su cuenta o como parte de Microsoft Entra Suite.
Microsoft Entra Privileged Identity Management (PIM)
Para usar Microsoft Entra Privileged Identity Management, el inquilino debe tener una licencia válida. Además, deben asignarse licencias a los administradores y usuarios pertinentes. Este artículo describe los requisitos de licencia para usar Privileged Identity Management. Para usar Privileged Identity Management, debe tener una de las licencias siguientes:
Licencias válidas para PIM
Necesita licencias de gobernanza de Microsoft Entra ID o licencias P2 de Microsoft Entra ID para usar PIM y toda su configuración. Actualmente, puede definir el ámbito de una revisión de acceso para abarcar las entidades de servicio con acceso a Microsoft Entra ID, los roles de recursos con una licencia de Microsoft Entra ID P2 o los usuarios con la edición de Gobierno de Microsoft Entra ID activa en el inquilino. El modelo de licencia para entidades de servicio finalizará para la disponibilidad general de esta característica y es posible que se requieran licencias adicionales.
Licencias que debe tener para PIM
Asegúrese de que su directorio tenga licencias de Gobierno de Microsoft Entra ID P2 o Gobierno de Microsoft Entra ID para las siguientes categorías de usuarios:
- Usuarios con asignaciones elegibles y/o limitadas en el tiempo a Microsoft Entra ID o roles Azure administrados mediante PIM
- Usuarios con asignaciones aptas o con límites de tiempo como miembros o propietarios de PIM para grupos
- Los usuarios que pueden aprobar o rechazar solicitudes de activación en PIM
- Los usuarios asignados a una revisión de acceso
- Los usuarios que realizan revisiones de acceso
Escenarios de licencia de ejemplo para PIM
Estos son algunos escenarios de licencia de ejemplo que le ayudarán a determinar el número de licencias que debe tener.
| Escenario | Cálculo | Número de licencias |
|---|---|---|
| Woodgrove Bank tiene 10 administradores para diferentes departamentos y 2 Administradores de roles con privilegios que configuran y administran PIM. Eso hace cinco administradores válidos. | Cinco licencias para los administradores que sean válidos | 5 |
| Graphic Design Institute tiene 25 administradores, de los cuales 14 se administran a través de PIM. La activación de roles necesita aprobación y hay tres usuarios diferentes en la organización que pueden aprobar las activaciones. | 14 licencias para los roles válidos + 3 aprobadores | 17 |
| Contoso tiene 50 administradores, de los cuales 42 se administran a través de PIM. La activación de roles necesita aprobación y hay cinco usuarios diferentes en la organización que pueden aprobar las activaciones. Contoso también realiza revisiones mensuales de los usuarios asignados a roles de administrador y los revisores son los administradores de los usuarios, de los cuales seis no tienen roles de administrador administrados por PIM. | 42 licencias para los roles válidos + 5 aprobadores + 6 revisores | 53 |
Cuando una licencia expira para PIM
Si expira una licencia de Microsoft Entra ID P2, gobierno de Microsoft Entra ID o una licencia de prueba, las características de Privileged Identity Management ya no estará disponibles en el directorio:
- Las asignaciones de roles permanentes a los roles de Microsoft Entra ID no se verán afectadas.
- El servicio Privileged Identity Management en el Centro de administración Microsoft Entra, y los cmdlets de Graph API y las interfaces de PowerShell de Privileged Identity Management, ya no estarán disponibles para que los usuarios activen roles con privilegios, administren el acceso con privilegios o realicen revisiones de acceso de roles con privilegios.
- Se quitan las asignaciones de roles aptas de roles de Microsoft Entra ID, ya que los usuarios ya no pueden activar roles con privilegios.
- Las revisiones de acceso continuas de los roles de Microsoft Entra finalizan y se quitan las opciones de configuración de Privileged Identity Management.
- Privileged Identity Management ya no envía correos electrónicos en los cambios de asignación de roles.
Id. verificada por Microsoft Entra
Id. verificada por Microsoft Entra se incluye con cualquier suscripción de Microsoft Entra ID, incluido Microsoft Entra ID gratis, sin coste adicional. Las funciones básicas de Id. verificada ayudan a las organizaciones:
- Comprueba y emite credenciales organizativas para cualquier atributo de identidad único.
- Capacitar a los usuarios finales con la propiedad de sus credenciales digitales y una mayor visibilidad
- Reducción del riesgo organizativo y simplificación del proceso de auditoría
- Crea aplicaciones sin servidor centradas en el usuario que usen credenciales de Id. verificada.
El id. verificada por Microsoft Entra también proporciona comprobación facial como una característica premium disponible como complemento e incluido en Microsoft Entra Suite (limitado a 8 comprobaciones faciales por usuario al mes).
Microsoft Entra Workload ID
El identificador de carga de trabajo de Microsoft Entra admite identidades de aplicación y principios de servicio en Azure, lo que requiere licencias por identidad de carga de trabajo al mes.
Organizaciones multiinquilino
En el inquilino de origen: necesitas licencias de Microsoft Entra ID P1 para usar esta característica. Cada usuario que se sincroniza con la sincronización entre inquilinos debe tener una licencia P1 en su inquilino de inicio u origen. Para encontrar la licencia adecuada para tus requisitos, consulta Planes y precios de Microsoft Entra ID.
En el inquilino de destino: la sincronización entre inquilinos se basa en el modelo de facturación de Microsoft Entra External ID. Para comprender el modelo de licencias de identidades externas, consulta Modelo de facturación de MAU para Id. externa de Microsoft Entra. También necesitas al menos una licencia de Microsoft Entra ID P1 en el inquilino de destino para habilitar el canje automático.
Todas las características de las organizaciones multi inquilino se incluyen como parte de Conjunto de aplicaciones de Microsoft Entra.
Control de acceso basado en rol
El uso de roles integrados en Microsoft Entra ID es gratuito. El uso de roles personalizados requiere una licencia de Microsoft Entra ID P1 para cada usuario con una asignación de rol personalizado. Para obtener la licencia correcta para tus requisitos, consulta Comparación de las características con disponibilidad general de las ediciones Gratis y Premium.
Roles
Unidades administrativas
El uso de unidades administrativas requiere una licencia de Microsoft Entra ID P1 para cada administrador de la unidad administrativa que tenga asignados roles de directorio en el ámbito de la unidad administrativa, y una licencia de Microsoft Entra ID gratuita para cada miembro de las unidades administrativas. La creación de unidades administrativas está disponible con una licencia de Microsoft Entra ID Gratis. Si usas reglas de grupos de pertenencia dinámica para las unidades administrativas, cada miembro de la unidad administrativa requiere una licencia de Microsoft Entra ID P1. Para obtener la licencia correcta para tus requisitos, consulta Comparación de las características con disponibilidad general de las ediciones Gratis y Premium.
Unidades administrativas de administración restringida
El uso de unidades administrativas de administración restringida requiere una licencia P1 de Microsoft Entra ID para cada administrador de unidad administrativa y licencias Gratis para los miembros de las unidades administrativas. Para obtener la licencia correcta para tus requisitos, consulta Comparación de las características con disponibilidad general de las ediciones Gratis y Premium.
Características en versión preliminar
La información de licencias de las características que se encuentran actualmente en versión preliminar se incluye aquí cuando es aplicable. Para obtener más información sobre las características en versión preliminar, consulta ¿Qué novedades hay en Microsoft Entra ID?